Hackerii au găsit o modalitate de a falsifica orice adresă Gmail

May 04, 2022
ÎnȘtiri Securitatea Internetului

Cercetătorii în domeniul securității cibernetice au observat o creștere a e-mailurilor de phishing de la adrese de e-mail legitime.
Ei susțin că aceste mesaje false profită de o defecțiune a unui serviciu Google popular și de măsurile de securitate laxe ale mărcilor usurate.
Urmăriți semnele de phishing, chiar și atunci când e-mailul pare a fi de la un contact legitim, sugerează experții.

Un smartphone și o masă cu modele de e-mailuri de phishing afișate pe ecran, așezate în fața tastaturii unui laptop. — BestforBest / Getty Images

Doar pentru că acel e-mail are numele corect și o adresă de e-mail corectă nu înseamnă că este legitim.

Potrivit cercetătorilor de securitate cibernetică de la Avanan, actorii de phishing au găsit o modalitate de a abuza de serviciul de retransmisie SMTP al Google, care le permite să falsifică orice adresă Gmail, inclusiv cele ale mărcilor populare. Noua strategie de atac conferă legitimitate e-mailului fraudulos, lăsându-l să păcălească nu doar destinatarul, ci și mecanismele automate de securitate a e-mailului.

„Actorii de amenințări caută mereu următorul vector de atac disponibil și găsesc în mod fiabil modalități creative de a ocoli controalele de securitate, cum ar fi filtrarea spamului.”

Chris Clements, VP Solutions Architecture la Cerberus Sentinel, a spus Lifewire prin e-mail. „După cum arată cercetarea, acest atac a folosit serviciul de retransmisie SMTP Google, dar a existat o creștere recentă a atacatorilor care folosesc surse „de încredere”.

Nu ai încredere în ochii tăi

Google oferă un serviciu de retransmisie SMTP care este utilizat de utilizatorii Gmail și Google Workspace pentru a direcționa e-mailurile trimise. Defectul, potrivit lui Avanan, a permis phisher-ilor să trimită e-mailuri rău intenționate prin uzurparea identității oricărei adrese de e-mail Gmail și Google Workspace. Pe parcursul a două săptămâni din aprilie 2022, Avanan a observat aproape 30.000 de astfel de e-mailuri false.

Într-un schimb de e-mail cu Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory la ZeroFox, a spus că companiile au acces la mai multe mecanisme, inclusiv DMARC, Sender Policy Framework (SPF) și DomainKeys Identified Mail (DKIM), care ajută, în esență, serverele de e-mail care primesc e-mailuri să respingă e-mailurile falsificate și chiar să raporteze activitatea rău intenționată către cei uzurați. marca.

„Când aveți îndoieli și ar trebui să aveți aproape întotdeauna îndoieli, [oamenii] ar trebui să folosească întotdeauna căi de încredere... în loc să dai clic pe linkuri..."

„Încrederea este uriașă pentru mărci. Atât de mare încât CISO sunt din ce în ce mai însărcinați să conducă sau să ajute eforturile de încredere ale unei mărci”, a spus Kime.

In orice caz, James McQuiggan, avocat pentru conștientizarea securității la KnowBe4, a declarat pentru Lifewire prin e-mail că aceste mecanisme nu sunt atât de utilizate pe scară largă pe cât ar trebui, iar campaniile rău intenționate precum cea raportată de Avanan profită de o asemenea laxitate. În postarea lor, Avanan a indicat Netflix, care a folosit DMARC și nu a fost falsificat, în timp ce Trello, care nu folosește DMARC, a fost.

Cand ai dubii

Clements a adăugat că, în timp ce cercetarea Avanan arată că atacatorii au exploatat serviciul de retransmisie SMTP Google, atacuri similare includ compromiterea sistemelor de e-mail ale unei victime inițiale și apoi utilizarea acestora pentru alte atacuri de phishing asupra întregului său contact listă.

Acesta este motivul pentru care el a sugerat ca persoanele care doresc să fie protejate de atacurile de phishing ar trebui să folosească mai multe strategii defensive.

Pentru început, există atacul de falsificare a numelui de domeniu, în care infractorii cibernetici folosesc diverse tehnici pentru a-și ascunde adresa de e-mail cu numele cuiva pe care țintă o poate cunoaște, ca un membru al familiei sau un superior de la locul de muncă, așteptându-se ca aceștia să nu iasă din cale pentru a se asigura că e-mailul provine de la adresa de e-mail mascată, partajată McQuiggan.

„Oamenii nu ar trebui să accepte orbește numele din câmpul „De la””, a avertizat McQuiggan, adăugând că cel puțin ar trebui să meargă în spatele numelui afișat și să verifice adresa de e-mail. „Dacă nu sunt siguri, pot oricând să contacteze expeditorul printr-o metodă secundară, cum ar fi un mesaj text sau un apel telefonic, pentru a verifica expeditorul menit să trimită e-mailul”, a sugerat el.

Cu toate acestea, în atacul de retransmisie SMTP descris de Avanan, să ai încredere într-un e-mail doar privind adresa de e-mail a expeditorului nu este suficient, deoarece mesajul va părea să provină de la o adresă legitimă.

„Din fericire, acesta este singurul lucru care diferențiază acest atac de e-mailurile normale de phishing”, a subliniat Clements. E-mailul fraudulos va avea în continuare semnele de phishing, care este ceea ce oamenii ar trebui să caute.

De exemplu, Clements a spus că mesajul ar putea conține o solicitare neobișnuită, mai ales dacă este transmis ca o chestiune urgentă. De asemenea, ar avea mai multe greșeli de scriere și alte greșeli gramaticale. Un alt semnal roșu ar fi linkurile din e-mail care nu ajung la site-ul web obișnuit al organizației expeditorului.

„Atunci când aveți îndoieli și ar trebui să aveți aproape întotdeauna îndoieli, [oamenii] ar trebui să folosească întotdeauna căi de încredere, cum ar fi accesul direct la site-ul web al companiei sau apelând numărul de asistență afișat acolo pentru a verifica, în loc să faceți clic pe linkuri sau să contactați numerele de telefon sau e-mailurile enumerate în mesajul suspect", a sfătuit Chris.